Filebeat+Logstash采集多个日志文件写入不同的ES索引

最新推荐文章于 2025-03-17 21:33:53 发布
最新推荐文章于 2025-03-17 21:33:53 发布
阅读量2.2k 收藏 10
点赞数 3
文章标签: elasticsearch es 分布式 大数据 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47980221/article/details/121122854
版权
本文介绍了如何结合Filebeat和Logstash进行日志收集和处理。Filebeat用于轻量级地监控不同路径的日志文件,如Nginx、Elasticsearch和Ruoyi服务的日志,通过添加'log_type'字段进行区分,并将数据发送至Logstash的5044端口。Logstash则根据'log_type'字段对日志进行过滤和解析,如JSON解析和日期转换,最后根据字段值将日志分别输出到不同的Elasticsearch索引中,如'es-YYYY.MM'、'ruoyi-YYYY.MM.dd'和'nginx-YYYY.MM'。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Logstash依赖于JVM,在启动的时候大家也很容易就能发现它的启动速度很慢很慢,但logstash的好处是支持很多类型的插件,支持对数据做预处理。而filebeat很轻量,前身叫logstash-forward,是使用Golang开发的,所以不需要有java依赖,也很轻量,占用资源很小,但功能也很少,不支持对数据做预处理。因此一般都是将filebeat+logstash组合使用,在每个节点部署filbeat,然后将监控的日志推送到数据缓冲层或直接推送到logstash集群内,配合redis或kafka做数据缓冲层来使用。

本篇就介绍如何将filebeat和logstash同时使用,并且介绍如何同时监控多个文件,将多个文件导出至不同的索引内。

Filebeat配置
vim /app/filebeat/filebeat.yml

同时监控nginx的日志以及es和ruoyi 服务得java类型日志,并且分别新增一个字段'log_type'(自定义的)来做区分,输出到localhost的5044端口,由logstash消费:

filebeat.inputs:

- type: log
  paths:
    - /var/log/nginx/*.log
  fields:
    log_type: "nginx"

  json.key_under_root: true
  json.overwite_keys: true

- type: log
  enabled: true
  paths:
    - /var/log/elasticsearch/elasticsearch.log
  fields:
    log_type: "es"

  multiline.pattern: '^\s'
  multiline.negate: true
  multiline.match: after

- type: log
  enabled: true
  paths:
    - /data/ruoyi/*.log
  fields:
    log_type: "ruoyi"

  multiline.pattern: '^\s'
  multiline.negate: true
  multiline.match: after

output.logstash:
  enabled: true
  hosts: ["localhost:5044"]

Logstash配置
vim /app/logstash/config/beat_es.conf

修改logstash配置,input的部分要与filbeat中的端口一致,filter的部分针对不同的日志内容做不同的预处理或解析,output中对不同的日志输出到不同的es的索引中。这里的 log_type就是在上面的filebeat中新增的自定义字段:

input {
   #从filebeat取数据,端口与filebeat配置文件一致
   beats {
     port => 5044
   }
}
filter {
    #只对nginx的json日志做json解析,系统message为其他格式,无需处理
    if [fields][log_type] == "nginx"{
      json {
         source => "message"
         remove_field => ["beat","offset","tags","prospector"] #移除字段,不需要采集
      }
      date {
        match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"] #匹配timestamp字段
        target => "@timestamp"  #将匹配到的数据写到@timestamp字段中
      }
  }
}
 
output {
       # 输出es,这的filetype就是在filebeat那边新增的自定义字段名
       if [fields][log_type] == "es" {
         elasticsearch {
            hosts => ["node1:9200","node2:9200"]
            index => "es-%{+YYYY.MM}"
        }
       } 
       if [fields][log_type] == "ruoyi" {
         elasticsearch {
            hosts => ["node1:9200","node2:9200"]
            index => "ruoyi-%{+YYYY.MM.dd}"
        }
       }
       if [fields][log_type] == "nginx" {
         elasticsearch {
            hosts => ["node1:9200","node2:9200"]
            index => "nginx-%{+YYYY.MM}"
        }       
       }
}

启动Filebeat和Logstash
先启动logstash,不然的话filebeat会找不到logstash的5044端口:

bin/logstash -f config/beat_es.conf

./filebeat -e -c filebeat.yml

Gฅ
关注
Logstash数据处理服务将采集不同日志数据存储到不同ES索引库(四)
江晓龙的博客
04-16 2564
Logstash不同的日志数据存储到不同索引库 文章目录Logstash不同的日志数据存储到不同索引库1.如何将logstash采集的数据存储到不同索引库2.将不同的应用程序日志写入不同索引库中2.1.配置logstash将日志分流2.2.产生日志数据2.3.观察是否生成索引库2.4.在kibana上关联索引模式![在这里插入图片描述](https://img-blog.csdnimg.cn/ea893af2bf84463c87e3ef12e1995a49.png?x-oss-process=
企业级日志系统架构Filebeat + Kafka + Logstash + Elasticsearch + Kibana现代日志管理架构详解
weixin_52236586的博客
03-18 1102
通过解耦数据生产和消费、提供强大的数据处理能力和实时可视化功能,这一架构能够满足企业在大规模分布式系统中的日志管理需求。作为消息队列,解耦了日志收集Filebeat)和数据处理(Logstash),提高了系统的可靠性和扩展性。提供了实时搜索和可视化的能力,帮助用户快速分析和监控日志数据。都是为高吞吐量和低延迟设计的,能够处理大规模的日志数据。提供了丰富的插件,支持复杂的数据过滤、解析和转换。:数据管道工具,用于收集、过滤、转换和输出数据。:轻量级的日志收集工具,专为日志文件设计。
filebeat采集一台服务器中的不同日志,并将日志放到ES中的不同索引
qq_37135484的博客
04-17 1924
filebeat.inputs: - type: log enabled: true paths: ?- /usr/local/tomcat/apache-tomcat-8.5.53/logs/catalina.out tags: ["tomcat"] fields: index: "tomcat" - type: log enabled: true pa...
【微服务日志收集①】使用FileBeat+Logstash+ES搭建ELK日志系统
1 Byte 的博客
03-17 1185
注意:默认打开的是output.elasticsearch,输入到es,这部分配置要注释掉!我们需要现将日志收集Logstash对数据进行过滤、分析和统一格式等。当然也可以用Logstash直接收集,但是Logstash服务过重,如果在每个应用上都部署一个Logstash,会给应用服务器增加很大的负担。因此,通常会在应用服务器上,部署轻量级的Filebeat组件。Filebeat可以持续稳定的收集简单数据,比如log日志,统一发给logstash进行收集后,再经过处理存到ES
使用filebeat收集不同日志,logstash创建不同索引
fyttttttt的博客
09-16 367
来源https://www.cnblogs.com/sanduzxcvbnm/p/11421962.html
Filebeat多个日志输出到不同的 Kafka Topic
杂货铺子
03-03 1万+
平时在物理机上使用 Filebeat 收集日志并输出到 Kafka 中时,会编写多个 filebeat 配置文件然后启动多个 filebeat 进程来收集不同路径下的日志并推送到不同的 Topic。那么如果将所有的日志路径都写到一个 filebeat 配置文件中,那么就需要根据不同的日志来设置 Topic 了。 其实 logstash 也可以实现这个功能。但是此处只演示在 Filebeat 上实现。步骤和讲解如下: 例如现在有如下三个日志文件,需要输出到不同的 Topic: access.log --
filebeat收集nginx日志打到logstash处理收入到es elk
weixin_45369440的博客
03-31 5256
大概的一个流程图 nginx配置 主要是将日志转成json格式方便解析 , 一般配在 http{ }里 log_format access_json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' '"clientip":"$remote_addr",' '"size":$body_bytes_sent,' '"responsetime":$request_time,' '"upstreamtim
FileBeat+Elasticsearch+Logstash+Kibana日志收集分析系统搭建
canthny的专栏
08-15 2003
准备阶段 6.0以上版本需要jdk1.8,自行安装 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.0.0-linux-x86_64.tar.gz wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0...
filebeat+kafka+logstash+es日志系统的搭建以及性能专题
qq_40673687的博客
12-18 1572
一、环境及组件版本 Windows10. filebeat6.8.1 kafka2.11logstash同681es7.1.1,Linux下部分配置通用 二、各组件配置 filebeat,可配置多种输出方式,logstash的filter通常是整个系统的性能薄弱环节,一般会使用削峰手段避免过大数据涌入 logstash,导致性能下降甚至宕机 ...
集群部署Elasticsearch+Logstash+Kibana+Filebeat+Kafka+Zookeeper
Wan_JF的博客
12-01 649
目录 引言 一、安装Zookeeper步骤 1、准备阶段(全部节点操作,以node1为例) (1)关闭防火墙和系统安全机制(全部节点操作,以node1为例) (2)同步时钟源(全部节点操作,以node1为例) (3)JDK的安装(全部节点操作,以node1为例) (4)配置hosts(全部节点操作,以node1为例) 2、安装Zookeeper软件包(全部节点操作,以node1为例) 3、修改配置文件(全部节点操作,以node1为例) 4、创建数据目录和日志目录(全部节点操作,以node
最新 docker下整合ELK ElasticSearch+filebeat+logstash+kibana(版本7.14.0)
rfAsfassdASD的博客
03-06 863
centos7.x docker 20.x elk+filebeat 统一是7.14.0 本人大三,在一家小公司实习,最近公司里发版测试环境使用docker,觉得是时候学习一下docker了 于是学习了一下docker 不得不说上手之后很香。推荐到菜鸟教程学习,连接:[Docker教程](https://www.runoob.com/docker/docker-tutorial.html "Docker教程")。学习完了部署了一下elk,也是在实习的时候接触到的,elk可以收集过滤分析日志,学习了一下。附上
使用filebeat简单收集多个nginx应用服务器日志(一)
江晓龙的博客
05-25 2811
使用filebeat简单收集日志 1.filebeat原理与介绍 filebeat收集日志的原理类似于tail -f命令,等待应用日志产生后,每隔30s将日志进行收集收集完成后存放在es索引库中,最后展示在kibana上 当filebeat关闭后,nginx继续产生日志,filebeat再次开启时不会将原来没有收集到的日志重新收集,而是收集目前最新的日志,当日志索引库被删除后,filebeat重启之后,es上没有生产新的日志索引库的原因只有是nginx没有产生日志,filebeat没有收集到,所有不会产
使用Filebeat 6 收集多个目录的日志并发送到lostash
热门推荐
bugli的博客
03-23 2万+
1.安装filebeat 到目标机器 官方安装文档<-点这里 本测试使用windows环境安装filebeat win: 1. Download the Filebeat Windows zip file from the downloads page. 2. Extract the contents of the zip file into C:\Program Files....
基于filebeat + logstash的日志收集方案
360技术
08-18 3518
日志收集是一个很普遍的需求,各个服务的log日志,打点日志都需要收集起来做离线etl或实时分析。日志收集工具也有很多开源的可供选择,flume, logstash, filebeat等等...
服务器日志采集架构filebeat+logstash
JavaBigData的博客
11-05 287
每台服务器部署filebeat,然后都发送到logstash,由logstash再上报到目的地。
日志收集笔记(Filebeat 日志收集Logstash 日志过滤)
KeePCoding
03-01 2637
Filebeat 是使用 Golang 实现的轻量型日志采集器,也是 Elasticsearch stack 里面的一员。本质上是一个 agent ,可以安装在各个节点上,根据配置读取对应位置的日志,并上报到相应的地方去。
ELK学习之Filebeat 采集多个文件
weixin_60092693的博客
05-05 2801
Filebeat 采集多个文件 filebeat.inputs: # 从这里开始定义每个日志的路径、类型、收集方式等信息 - type: log # 指定收集的类型为 log paths: - /usr/local/nginx/logs/access.log # 设置 access.log 的路径 fields:
Filebeat+Logstash自定义多索引
weixin_30855761的博客
07-18 1427
方案一:推荐 [root@elk-node-1 filebeat]# cat filebeat.yml|egrep -v "^$|^#|#" filebeat.inputs: - type: log enabled: true paths: - /opt/app/nginx/logs/elk.log fields: service: nginx - type: log enab...
ELK-使用nxlog+filebeat采集不同类型的日志输出到logstash
陈袁的博客
04-24 4001
使用nxlog+filebeat采集不同类型的日志输出到logstash 前言 网络上有很例子给出一示例是采集一种类型的日志输出到logstash,但一个系统上日志种类很多,同一个采集端能区分不同日志类型吗? 下面的结构是nxlog做客户端采集,通过tcp协议发送到logstash,然后logstash传输到elasticsearch。 前提条件必需: 安装好elasticsearch,logs...
LK 的架构图与工作流程ELK 架构通常由三个主要组件:ElasticsearchLogstash 和 Kibana 组成,整个流程从数据采集到可视化展示。以下是它们的典型架构及工作流程:
最新发布
04-09
### ELK 和 LK 架构组成及工作流程 #### 1. **ELK 架构** ELK 是由 ElasticsearchLogstash 和 Kibana 组成的企业级日志分析系统。以下是各组件的功能描述: - **Elasticsearch**: 这是一个分布式的全文搜索引擎,负责存储和索引数据,并提供高效的查询功能[^1]。 - **Logstash**: 它是一种服务器端的数据处理管道工具,可以从多个来源采集数据,对其进行过滤和转换后发送到指定的目标位置[^4]。 - **Kibana**: 提供了一个友好的界面来帮助用户搜索、查看和交互存放在 Elasticsearch 中的数据,支持多种方式的可视化展示[^3]。 整个系统的典型工作流如下: 1. 数据通过 Logstash 或其他 Beats 工具(如 Filebeat)被收集并传输至 Elasticsearch; 2. Elasticsearch 对这些数据进行存储和索引操作以便后续检索; 3. 用户利用 Kibana 查询所需信息并通过图形化的方式呈现出来。 #### 2. **LK 架构** 如果仅考虑 LK (Logstash + Kibana),则缺少了核心数据库层 Elasticsearch 的参与。在这种情况下: - **Logstash** 将继续承担起从前端接收输入事件的任务, 并可能直接对接某些特定类型的下游服务或者文件系统作为输出目标而不是写入 ES; - 而对于 **Kibana**, 如果没有连接到 ES 实例上,则其主要作用会受到很大限制因为大部分内置特性都依赖于后者所提供的强大查询引擎来进行驱动. 不过,在实际应用当中很少单独部署这样的组合形式(即不包含ES), 因为这会使整体解决方案变得不够完善且效率低下. #### 3. **架构图概述** 虽然无法在此处绘制具体的图片表示法,但是可以根据上述说明构建相应的逻辑关系图谱: - 在标准版 `ELK` 设计里边应该体现出三个模块之间的紧密联系:左侧代表各类原始资料源头经过中间环节(Logstash/Beats)加工后再送达到右侧最终储存区位(elasticsearch);上方再叠加一层专门用来做前端展现的部分(kibana). - 至于简化版本也就是所谓的 'lk' 方案下就只剩下了前后两端相互配合完成部分基础任务而已. ```mermaid graph TD A[Data Sources] --> B{Logstash} C[Elasticsearch] <--|Index Data Into| D[Kibana] E(Filebeat) -.-> F{Logstash} G(User Interface) -- Query & Visualize --> H(Kibana) ``` 此Mermaid语法定义了一种简单的流程图,展示了如何从不同数据源流向最终可视化的路径。 --- ### 示例代码片段 下面给出一段 Python 脚本示例演示如何向 Elasticsearch 发送请求获取文档内容: ```python from elasticsearch import Elasticsearch es = Elasticsearch([{'host': 'localhost', 'port': 9200}]) res = es.search(index="test-index", body={"query": {"match_all": {}}}) print("Got %d Hits:" % res['hits']['total']) for hit in res['hits']['hits']: print(hit["_source"]) ``` 该脚本初始化了一个指向本地运行实例的服务对象,并执行基本搜索命令返回所有匹配项的结果集列表。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值